Personvern er vel så mye et vern av virksomhetens økonomi og omdømme.

Personopplysningsloven krever at følgende virksomheter skal peke ut et personvernombud (PVO): 

  • alle offentlige virksomheter

  • virksomheter som behandler sensitiv informasjon i stor skala

Men hvor mange har tilstrekkelig tyngde til å utføre sine lovpålagte oppgaver på en god måte?

Et personvernombud har disse oppgavene

Personvernombudet skal informere og gi råd til ledelsen og de ansatte om forpliktelsene de har rundt personvern og informasjonssikkerhet. PVO skal også kontrollere overholdelsen av GDPR og virksomhetens personvernretningslinjer, kontrollere at ansvaret for personvern er klart definert og ikke minst at holdningsskapende tiltak, opplæring og revisjoner blir gjennomført. 

På anmodning skal PVO også gi råd om vurderingen av personvernkonsekvenser, være kontaktpunkt og samarbeide med Datatilsynet.

Les mer: IT-sikkerhet: Slik sikrer du riktig håndtering av informasjon

 

Vanlige utfordringer for et internt personvernombud

Personvernombudet har en krevende rolle. For at funksjonen skal fungere tilfredsstillende, må vedkommende ha tilgang til ledelsen på riktig nivå, og de rette ressursene i organisasjonen må frigjøres. For mange virksomheter er det krevende å finne en egnet person i egne rekker, fordi rollen krever stor grad av uavhengighet i tillegg til spesialisert fagkompetanse. 

Ikke minst er det snakk om et helt eget område med arbeidsoppgaver som krever relevant innsikt og erfaring. Tabellen nedenfor gir et bilde på hva hovedmålene og -utfordringene med PVO-funksjonen er: 

Mål

Utfordring

Alltid oppdatert

Holde seg orientert fortløpende

Lavest mulige kostnader

Brudd på GDPR-regelverket kan bli kostbart

Rett kompetanse hos PVO

Virksomheter mangler tilstrekkelig internkompetanse

Uavhengighet

Interne PVOer kan ha større utfordringer med å håndtere lovpålagt uavhengighet​

Gode rutiner

Det kan være krevende å sette opp rutiner og vedlikeholde disse over tid

Ekstern dialog

Prioritere og opprettholde
jevnlig dialog med Datatilsynet

 

Les mer: De 5 vanligste GDPR-forseelsene blant norske virksomheter


Mange virksomheter innser etterhvert at PVO-rollen omfatter mer enn de har evne til å håndtere med interne ressurser, og velger derfor å engasjere et eksternt personvernombud.
 

Fordelene ved å benytte et eksternt personvernombud

Et eksternt personvernombud kan ofte være mer uavhengig i sitt arbeid enn det et internt ombud vil være. De kan også tilføre kompetanse på GDPR og informasjonssikkerhet generelt, slik at virksomheten etterhvert kan bli mer selvhjulpen. Sannsynligvis vil et et eksternt PVO også jobbe med flere virksomheter i eller tilknyttet samme bransje, og vil derfor kunne by på verdifulle erfaringer. 

Fordelene ved å bruke et eksternt PVO kan oppsummeres slik: 

Krav/ønske

Fordelene med eksternt PVO

Sertifisering

Har alle relevante sertifiseringer

Bred erfaring

Har jobbet for mange ulike kunder over tid

Full uavhengighet

I henhold til loven, men gjerne også utover minimumskravene

IT-forståelse

Dyp IT-kunnskap kan gi viktig merverdi utover ren lovanvendelse 

Prosessorientert

Implementerer praktiske arbeidsprosesser som understøtter GDPR

Alltid oppdatert

Har rutiner for å holde seg
kontinuerlig oppdatert

Personlig oppfølging

Er et fast kontaktpunkt for kundene sine 

Ekstern dialog

Kontakt med databehandlere og Datatilsynet ved behov 

 

Hva kan et eksternt personvernombud bidra med i praksis?

Et eksternt PVO kan bidra på en rekke viktige fronter. Noen eksempler er som følger: 

  • Legge til rette for behandling av personopplysninger utenfor EU og identifisere hvilke avtaler som må på plass for å oppfylle GDPR.

  • Lede og gjennomføre risikovurderinger, med praktisk metode som gir forståelse, merverdi og bedre personvern.

  • Drive opplæring som engasjerer (dyp kompetanse og erfaring gir krydder til læringsopplevelsen).

  • Lede vurderinger av personvernkonsekvenser.

  • Utnytte synergier som oppstår i kraft av å være felles personvernombud for flere virksomheter.

  • Tilføre bred kompetanse, underbygget av sertifiseringer innen personvern (GDPR), informasjonssikkerhet (CISA og ISO27001) og relaterte IT-disipliner.

 

cta-internkontroll-informasjonssikkerhet-desktop